瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于一个威金病毒~~测试被搞~~样本还在,高手帮忙咯【原创】
日不懂啊 - 2007-9-10 11:17:00
一个卡友给的样本
运行以后,都是威金的症状
日志不正常项目如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<load><C:\WINDOWS\uninstall\rundl132.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]

[C:\WINDOWS\system32\LYMANGR.DLL]  [N/A, ]

Autorun.inf
[E:\]
[AutoRun]
open=system.pif
shellexecute=system.pif
shell\Auto\command=system.pif
[F:\]
[AutoRun]
open=system.pif
shellexecute=system.pif
shell\Auto\command=system.pif

其他都搞的定
但是问题出来了
Autorun.inf
[E:\]
[AutoRun]
open=system.pif
shellexecute=system.pif
shell\Auto\command=system.pif
[F:\]
[AutoRun]
open=system.pif
shellexecute=system.pif
shell\Auto\command=system.pif

这个搞不定,能看到autorun.inf 但怎么都看不到system.pif
DOS下也看不到,威金的rundl132.exe  logo_1.exe是没有了
这个autorun.inf一直删除后会恢复,
system.pif这个一直找不到,头大了....
C:\Program Files\Internet Explorer下面的2个病毒已经删除

现在头大了...

求高手支着

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
HOSTのS - 2007-9-10 11:21:00

有这玩意  发个看看
邮箱应该记得吧  不记得没关系  写在签名上了   
日不懂啊 - 2007-9-10 11:32:00
这个是感染型的,有虚拟机我才给。要不麻烦~~
小菜鸟9517 - 2007-9-10 13:17:00
我家电脑也中了这个破玩意……头疼了,求大虾指教指教!感激不尽啊!!!!
mopery - 2007-9-10 14:18:00
bin59420@yahoo.com.cn
HOSTのS - 2007-9-10 14:21:00
试了一下  没看到system.pif
把把日志上传

附件: 8837572007910141217.txt
HOSTのS - 2007-9-10 14:30:00
有一点纳闷  日志里什么都有了  但就是没看到Autorun.inf  system.pif
mopery - 2007-9-10 14:37:00
样本样本..

bin59420@yahoo.com.cn
日不懂啊 - 2007-9-10 15:04:00
引用:
【mopery的贴子】样本样本..

bin59420@yahoo.com.cn
………………


来了来了,嘿嘿。已发
mopery - 2007-9-10 15:13:00
=.=

没收到..
日不懂啊 - 2007-9-10 15:30:00
..........再发次..
日不懂啊 - 2007-9-10 15:31:00
引用:
【HOSTのS的贴子】有一点纳闷  日志里什么都有了  但就是没看到Autorun.inf  system.pif

………………


病毒你搞死了没?
青松1 - 2007-9-10 15:31:00
我也要样本
请给我发一个,谢谢!!!!
邮箱:tan2000tan@21cn.com
加密:123
青松1 - 2007-9-10 15:36:00
顺便说一下:
C:\Program Files\Common Files
C:\Program Files\Common Files\Microsoft Shared\MSInfo
C:\Program Files\Internet Explorer\PLUGINS
这三个路径有无system.pif
日不懂啊 - 2007-9-10 15:39:00
现在看来,估计我是还有别的病毒...
HOSTのS - 2007-9-10 15:57:00
引用:
【日不懂啊的贴子】

病毒你搞死了没?
………………



  刚把日志搞上去  就出去办事了  现在才回来 
日不懂啊 - 2007-9-10 16:00:00
你还没开搞?~~
日不懂啊 - 2007-9-10 16:00:00
快去把病毒弄死,发个流程我看看,嘿嘿
HOSTのS - 2007-9-10 16:06:00
引用:
【日不懂啊的贴子】快去把病毒弄死,发个流程我看看,嘿嘿
………………

慢慢来吧  刚才出去了  现在必须把今天的任务补上  再完不成  要喀嚓的.....
日不懂啊 - 2007-9-10 16:07:00
HOSTのS - 2007-9-10 16:09:00
帅哥  现在是上班时间啊  样本是偷着玩  被老大看见了
那可真是满地找烟头-----找抽啊
日不懂啊 - 2007-9-10 16:23:00
靓仔仔~
我上班时间就是大胆的玩,哈哈,老大来了,我说我在学习...
嘿嘿

被VIKING搞了下,今天没手感,不搞了
明天继续,嘿嘿
孤独更可靠 - 2007-9-10 16:37:00
老大,发个给我;

Lyhan_1988@163.com

加密virus

日不懂啊 - 2007-9-10 16:42:00
引用:
【孤独更可靠的贴子】老大,发个给我;

Lyhan_1988@163.com

加密virus


………………

发了密码1234
mopery - 2007-9-10 17:08:00
http://18dd.net/new/1.exe
~~~~~~~~~
http://18dd.net/new/20.exe

和普通viking一样。。
日不懂啊 - 2007-9-10 17:27:00
引用:
【mopery的贴子】http://18dd.net/new/1.exe
~~~~~~~~~
http://18dd.net/new/20.exe

和普通viking一样。。
………………

谢谢斑竹的测试,估计我是上次病毒没清完...
孤独更可靠 - 2007-9-10 17:47:00
引用:
【日不懂啊的贴子】
发了密码1234
………………

virustotal上 报的有70%以上

没有测试了
1
查看完整版本: 关于一个威金病毒~~测试被搞~~样本还在,高手帮忙咯【原创】
© 2000 - 2026 Rising Corp. Ltd.